„Volkswagen“ dukterinės įmonės duomenų nutekėjimas atskleidė 800 000 elektromobilių savininkų informaciją, įskaitant buvimo vietos duomenis. Atskleistus duomenis buvo galima rasti internete, o nukentėjo VW, „Audi“, „Seat“ ir „Škoda“ savininkai.
Kokia vairuotojų informacija buvo nutekinta?
Pasak Vokietijos leidinio „Spiegel Netzwelt“, privatūs duomenys iš „Cariad“, kuriančios VW programinę įrangą, internete buvo prieinami kelis mėnesius.
Juose buvo „Volkswagen“ automobilių ir kitų kompanijos markių automobilių savininkų Vokietijoje, Europoje ir kitose pasaulio dalyse kontaktinė informacija bei judėjimo duomenys.
Kai kuriais atvejais duomenys apėmė vairuotojų el. pašto adresus, telefono numerius ir adresus. Taip pat buvo pateikta išsami informacija apie tai, kur elektriniai automobiliai buvo užvesti ir išjungti.
460 000 iš 800 000 nutekėjusių transporto priemonių duomenys apie „Volkswagen“ ir „Seat“ automobilių buvimo vietą buvo labai tikslūs – net dešimties centimetrų tikslumu, o „Audi“ ir „Škoda“ elektromobilių – 10 km tikslumu.
„Spiegel“ rašo, kad į savininkų sąrašą pateko Vokietijos politikai, verslininkai ir visas Hamburgo policijos vairuojamų elektromobilių parkas, netgi įtariama, kad nutekėjime dalyvavo ir žvalgybos tarnybų darbuotojai.
Duomenys buvo palikti neapsaugotoje debesų saugykloje
Kaip jau ne kartą matėme anksčiau, kai įvykdavo tokio pobūdžio incidentai, duomenys buvo prieinami dėl to, kad buvo palikti neapsaugotoje ir netinkamai sukonfigūruotoje „Amazon“ debesų saugykloje.
Pranešama, kad nutekinta informacija buvo gauta iš „Volkswagen“ elektromobiliuose naudojamos programinės įrangos.
Duomenis paviešino programišių asociacija „Chaos Computer Club“ (CCC), kuriai apie tai pranešė anoniminis įsilaužėlis.
Klubas kreipėsi į Vokietijos federalinę vidaus reikalų ministeriją ir žemės policiją, kurios suteikė „Volkswagen“ ir „Cariad“ 30 dienų situacijai išspręsti, o tik po to ją paviešino.
„Volkswagen“ teigia, kad klaida jau ištaisyta ir informacija nebėra prieinama. Ji priduria, kad slaptažodžiai ir mokėjimo informacija nebuvo nutekinti ir kad iš pradžių pavojus buvo iškilęs tik tam tikroms transporto priemonėms, registruotoms internetinėms paslaugoms.
Automobilių gamintojas taip pat teigė, kad prie duomenų buvo prieita per labai sudėtingą kelių etapų procesą, o CCC įsilaužėliai pseudoniminius transporto priemonių duomenis galėjo gauti tik apėję keletą saugumo mechanizmų, o tam reikėjo didelių žinių ir nemažai laiko.
Tai ne pirmas tokio pobūdžio duomenų nutekėjimas automobilių gamintojui. 2023 m. „Toyota“ atsiprašė nustačiusi, kad dėl netinkamai sukonfigūruoto serverio beveik dešimtmetį internete buvo atskleidžiami kai kurių klientų duomenys.
Šie incidentai išryškina problemas, susijusias su prijungtaisiais automobiliais ir dalijimusi klientų informacija.
2023 m. „Mozilla“ atliktame tyrime nustatyta, kad visi 25 tirti automobilių prekių ženklai renka per daug asmeninių duomenų ir naudoja juos ne automobilio eksploatacijai ir santykiams su klientu valdyti. „Mozilla“ išvada buvo tokia: šiuolaikiniai automobiliai yra „privatumo košmaras“.